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Abstract of correspondent: US2001 049789 
A method is provided for a secure transfer of data 
or data files between participants, subscribers, 
and users. A first graphic image of the first 
original form is generated from the first original 
form of the data file or of the data by a first 
transformation process. A second electronic seal 
is generated from the first graphic image in a 
second step. In the following, the first original 
form of the data file or of the data and the second 
electronic seal of the graphic image are 
transmitted to a receiver. In a further step, the 
receiver generates a second graphic image of the 
original form, received at the receiver, with the 
same transformation process. The receiver 
generates a fourth electronic seal from the 
second graphic image, generated by the second 
transformation process. The transmitted second 
seal and the newly generated fourth seal are 
compared to each other with respect to identity in 
a last step 
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Verfahren zur sicheren Anzeige bei der Ubertragung von Daten oder Dateien zwischen Teilnehmern 

Die Erfindung betrifft ein Verfahren zur sicheren Ober- 
tragung von Daten oder Dateien zwischen Teilnehmern, 
wobei von der ersten Urform der Datei oder der Daten 
durch einen ersten TransformationsprozeB ein erstes gra- 
tlsches Abbiid der ersten Urform erzeugt wird, in. einem 
zweiten Sch ritt von dem ersten Abbiid ein zweites elektro- 
nisches Siege! generiert wird, dafi anschliekend die erste 
Urform der Datei oder des Datums und das zweite elektro- 
nische Siegel der grafischen Abbildung an einen Empfan- 
ger ubermittelt werden, dafc in einem weiteren Schritt der 
Empfanger mit demselben TransformationsprozeB eine 
zweite grafische Abbildung der bei ihm angekommenen 
Urform erzeugt, daft in einem weiteren Schritt der Emp- 
fanger von der von ihm durch den zweiten Transformati- 
onsprozeS generierten zweiten grafischen Abbildung ein 
viertes elektronisches Siegel generiert, und daB in einem 
letzten Schritt das ubermittelte zweite Siegel und das neu 
generierte vierte Siegel miteinander auf Identitat vergli- 
chen wird. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur sicheren Anzeige 
bei der Ubertragung von Daten oder Dateien zwischen Teil- 
nehmern. 5 

In der Datenverarbeitung gibt es in unterschiedlichsten 
Anwendungsbereichen sensible Daten und Dateien. Hierbei 
kann es sich urn Textdateien, Daten unci/oder Dateien aus 
Datenbanken, Bild-Informationen, Online-Informationen, 
Multi-Media-Anwendungen, Online Transaktionen und 10 
ahnliches, Programme fur die Datenverarbeitung im Objekt- 
oder Source-Code oder urn beliebige sensible Daten han- 
deln. Die nachfolgend naher beschriebene Erfindung ist 
nicht auf einen bestimmten Daten oder Dateityp beschrankt. 

Es ist seit langerer Zeit bekannt, Daten oder Dateien mil 15 
sensiblen Inhalten zu verschlusseln. Durch die verschiede- 
nen bekannten Verschlusselungsverfahren wird (rnit unter- 
schiedlichen Qualitatsniveau) sichergestellt, da8 unbefugte 
Dritte derartige Daten oder Dateien nicht verstehen konnen. 

Bei den Ubermittlungen von sensiblen Daten und Dateien 20 
stellen sich je nach deren Art weitere unterschiedliche Si- 
cherheitsanforderungen an die Ubermittlung. Es kann wich- 
tig sein, 

a) daB die Zuordnung uber die elektronische "Unter- 25 
schrifT zwischen einem Objekt (Datei oder Datum) 
und einem Subjekt (Person und/oder Computer) be- 
weiskraftig ist, 

b) daB sichergestellt ist, daB die versandten Daten und/ 
oder Dateien mit jenen Daten und/oder Dateien, wel- 30 
che angekommen sind, inhaldich bis auf das letzte Bit 
iibereinstimmt, also unverandert sind und/oder 

c) daB bei der Ubermittlung von zwei Dateien, zwei 
Daten oder einer Datei und einem Datum, welche je- 
weils zueinander eine definierte Beziehung haben, si- 35 
chergestellt ist, daB diese Beziehung unverandert auch 
nach der Ubertragung vorliegt. Eine derartige Verbin- 
dung ware beispielsweise eine elektronische Unter- 
schrift zu einer Datei oder einem Datum. Hierbei muB 
bei der Ubertragung sichergestellt sein, daB die elektro- 40 
nische Unterschrift "unter" jenen Daten und/oder Da- 
teien steht, welches nach Ansicht des 'Trnterschreiben- 
den" die elektronische Unterschrift tragen soil, also daB 
nicht ganzlich aridere Daten und/oder Dateien mit die- 
ser elektronischen Unterschrift versehen werden, und/ 45 
oder 

d) daB das angewandte Verfahren zur Identifizierung 
sensibler Daten und/oder Dateien im Rahmen der Aus- 
fuhrung des Verfahrens nicht verandert wurde, daB also 
der Absender und der Empfanger mit dem identischen 50 
Verfahren arbeiten, so daB sichergestellt ist, daB nicht 
durch ein Veranderung des Verfahrens sensible Dateien 
in unerwunschter Weise verandert werden und/oder 

e) daB sichergestellt ist, daB der Dateiinhalt wie er sich 
dem Betrachter auf dem Bildschirm bietet, inhaltlich 55 
identisch mit der tatsachlichen Datei ist, daB also ver- 
sleckte, auf dem Bildschirm nicht angezeigte Dateiin- 
halte oder Daten ebenso fehlen wie versteckte Ver- 
kniipfungen zu einer oder mehreren anderen Dateien, 
so daB unter Berucksichtigung aller Verkniipfungen der 60 
tatsachliche Dateiinhalt groBer oder anders ist, als je- 
ner, welcher dem Betrachter auf dem Bildschirm pra- 
sentiert wird. 

Die ublichen Betriebssystcme stellen die GrbBe einer Da- 65 
lei, ausgedriickt in Bytes als Information uber die Datei oder 
das Datum zur Verfugung. Zwei identische Dateien oder Da- 
ten miissen daher dicselbc Anzahi von Bytes aufweiscn. 
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Umgekehrt bedeuten jedoch dieselbe Anzahi von Bytes 
nicht zwingend eine Identitat zweier Dateien oder Daten. 

Aus diesem Grunde wurden Verfahren entwickelt, urn mit 
einer hohen Wahrscheinlichkeit die Identitat von Dateien 
oder Daten aufgrund quarititativer Kriterieh bestimmen zu 
konnen. 

Die gebrauchlisten Verfahren sind hierbei Prufsummen- 
Verfahren. 

Die Qualilal derartiger Verfahren ist sehr unterschiedlich. 
So sind beispielsweise Verfahren bekannt, bei denen ledig- 
lich die auf dem konkreten Datentrager fur eine konkrete 
Datei belegten Blocke "gezahlf und ihre Summen als Ver- 
gleichszahl verwendet wird. Dieses Prufverfahren beinhaltet 
selbstverstandlich keinerlei Aussagen hinsichtlich des In- 
halts der Daten-Blocke, es ist nicht einmal eindeutig, ob je- 
der Block voll beschrieben ist. Minimale Abweichungen in 
der Dateilange, soweit durch diese Abweichungen nicht die 
Gesamtzahl der Blocke sich verandert, werden durch derar- 
tige Prufverfahren nicht erkannt. 

Bessere Prufsummen- Verfahren sind u. a. der Cyclic Red- 
undancy Check (CRC). 

Das wohl gebrauchliste derartige Verfahren sind die 
Hash-Funktionen. 

Im Gegensatz zur bloBen Fehlererkennung in Prufsum- 
men- Verfahren konnen kryptografische Verfahren die Iden- 
titat von Dateien und Daten durch die Generierung von elek- 
tronischen Siegeln mit hochster Sicherheit gewahrleisten. 
Elektronische Siegel konnen auf folgende Weise generiert 
werden: 

1 . Nach Verfahren wie z. B. dem Message Authentica- 
tion Code (MAC) werden aus Daten oder Dateien unter 
Einbeziehung eines Schlussels direkt die elektroni- 
schen Siegel erzeugt oder verifiziert. 

2. Uber den Mechanismus eines Hash-Codes und einer 
elektronischen Unterschrift kann das elektronische Sie- 
gel wie folgt generiert werden: 

a) Erstellung eine kryptografischen Prufsumme aus 
den zugehorigen Daten und/oder Dateien, beispiels- 
weise uber eine Hash-Funktion. Bei den Hash-Funktio- 
nen werden riicht feste Blocke, sondern Inhalte gepruft. 
Die wichtigste Anforderung an eine Hash-Funktion ist 
dabei die Kpllisionsfreiheit. Hier wird gefordert, daB es 
nach einer boswilligen Anderung einer Datei nicht 
moglich sein soli, denselben Hash-Wert, wie vor der 
Manipulation zu erhalten. Umgekehrt kann zu einem 
vorgegebenen Hash-Wert kein Dokument generiert 
werden, das diesen Hash-Wert erzeugt. 

b) Berechnung der elektronischen Unterschrift mit 
dem geheimen Schliissel des Erzeugers und in Verbin- 
dung mit den Daten und/oder Dateien oder deren Hash- 
Code. 

Nachteil dieses Verfahrens ist jedoch, daB nicht garantiert 
werden kann, daB die so elektronisch signierten Daten und/ 
oder Dateien selbst nicht bereits in irgendeiner Weise veran- 
dert worden sind. Es ist beispielsweise denkbar, daB ein 
Teilnehmer Daten oder Dateien elektronisch signiert ohne 
zu erkennen, daB hierin auch weitere unerwiinschte Daten 
enthalten sind oder, daB er fur ihn nicht erkennbar, nur einen 
Teil der Daten oder Dateien signiert. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Ver- 
fahren zu scharTen, bei dem sichergestellt ist, daB nur ein- 
deutig identifizierte und eindeutig integere Daten und/oder 
Dateien rnit einer elektronischen Unterschrift versehen wer- 
den. Diese Aufgabe wird eriindungsgemaB durch den kenn- 
zcichncndcn Teil des Anspruches 1 gclost. 

Die Erfindung gcht hierbei von folgcnden Verfahrens- 
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schritten aus. 

Die fraglichen Daten und/oder Dateien, werden als grafi- 
sehe Abbildung nochmals erfaBt. Ein definiertcr Transfor- 
mationsprozeB erzeugt hierbei von der Urforrn der Daten 
oder der Datei eine grafisehe Abbildung. Wenn die Urforrn 5 
der Datei beispielsweise eine Text-Datei ist, so wind diese 
nach der Syntax der verwendeten Textverarbeitung als AS- 
CH-ahnliche Daten und/oder Dateien (zzgl der Steuerzei- 
chen) erfafiL In dieser Form kann die Datei dann (in Verbin- 
dung mit entsprechenden Grafik- oder Druckertreibern) auf 10 
dem Bildschirm und dem Drucker ausgegeben werden. Die 
nicht beschriebenen Flachen auf dem Bildschirm oder eines 
Ausdruckes sind bei den fraglichen Dateien nicht erfaBt. 

Demgegenuber wird bei der vorgenannten grafischen Ab- 
bildung, welche beispielsweise uber eine Vektor-Grafik er- 15 
zeugt werden kann, die Urforrn der Daten und/oder Dateien 
nicht als Text, sondem als Bild gesehen. Jeder einzelne 
Punkt eines Zeichens und jeder einzelne Punkt einer nicht 
beschriebenen Rache wird hierbei als grafisches Element 
definiert und so erfaBt. Konsequenterweise werden somit 20 
nur jene Elemente erfaBt, welche auf dem Bildschirm zu se- 
hen sind, so daB verdeckte Elemente, wie Steuerzeichen, 
Makros etc., wie sie beispielsweise in Textdateien vorkom- 
men, nicht Bestandteil der grafischen Datei werden. Man 
kann ein Datum oder eine Datei so andem, daB die GroBe 25 
des Datums oder der Datei unverandert bleibt. Allein uber 
die GroBe eines Datums oder einer Datei konnen Verande- 
rungen somit nicht festgestellt werden. Derartige Verande- 
rungen erzeugen jedoch eine andere Darstellung auf dem 
Bildschirm oder dem Drucker. Sie sind also sichtbar und er- 30 
zeugen somit eine andere Abbildung. 

In einem weiteren Schritt wird sowohl fur die Urforrn der 
Daten und/oder Dateien, als auch fur deren grafisehe Abbil- 
dung uber ein Prufsummen- Verfahren, beispielsweise uber 
ein Hash- Verfahren je ein eindeutiger Wert, beispielsweise 35 
der betreffende Hash- Wert ermittelt und erfaBt. Die betref- 
fenden Werte werden nachfolgend als erstes elektronisches 
Siegel (von der Urforrn der Daten und/oder Dateien) und 
zweites elektronisches Siegel (von der Abbildung der Daten 
und/oder Dateien) genannt. 40 

In einem dritten Schritt wird die Urforrn der Daten und/ 
oder Dateien oder deren Abbildung zusarnmen mit den bei- 
den elektronischen Siegeln an den Empfanger ubermittelt 
werden. Es liegt auf der Hand, daB, sofern es erforderlich ist, 
auch die Urforrn der Daten und/oder Dateien oder deren Ab- 45 
bildung fur die Ubermittlung verschliisselt werden kann. 

In einem weiteren Schritt erzeugt der Empfanger aus der 
ihm ubermittelten (ggf. wieder entschliisselten) Urforrn der 
Daten und/oder Dateien mit demselben Transformationspro- 
zeB ebenfalls eine Abbildung der Datei. 50 

In einem weiteren Schritt wird von dieser Abbildung der 
Daten und/oder Dateien nach demselben Verfahren ein drit- 
tes elektronisches Siegel erstellt. 

Wenn die vom Empfanger erzeugte Abbildung der Ur- 
forrn der Daten und/oder Dateien identisch ist, mit der vom 55 
Absender erzeugten Abbildung der Urforrn der Datei, dann 
muB auch das vom Empfanger mit demselben Transformati- 
onsprozeB generierte elektronische Siegeln identisch sein 
mil jenem Siegel, welches zusarnmen mit der Datei an den 
Empfanger ubermittelt wurde. Eine Abweichung dieser bei- 60 
den elektronischen Siegel bedeutet, daB die vom Empfanger 
nach demselben TransformationsprozeB erzeugte Abbil- 
dung nicht identisch ist mit jener, welche vom Absender er- 
zeugt wurde. Die Konsequenz ist, daB auch die empfangene 
Urforrn der Datei verandert sein muB. Dies gilt auch dann, 65 
wenn die reine DateigroBe und/oder Abbildung der abge- 
sandtcn und der empfangenen Urforrn der Datei identisch 
sind. 



Ein komplexer TransformationsprozeB kann auch aus 
mehreren Teilen bestehen. ErfindungsgemaB konnen zu der- 
arugen Teilen auch eigene Siegel generiert und in erfin- 
dungsgemaBer Weise wie die vorbeschriebenen Siegel ein- 
gesetzt werden. 

Auch konnen Siegel zu geeigneten Komponenten der Sy- 
stemumgebung z. B. zu laufenden Prozessen generiert wer- 
den. Je mehr Siegel in erfindungsgemaBer Weise generiert 
und eingesetzt werden, urn so sicherer ist das Verfahren. 

Die vorliegende Erfindung wird nachfolgend anhand ei- 
nes Ausfuhrungsbeispiels und der Zeichnung erlautert. 

Der Benutzer hat eine erste Urforrn (Ul) eines Datums 
oder einer Datei. Hierzu erzeugt er ein erstes elektronisches 
Siegel (SI). Durch einen ersten TransformationsprozeB (Tl) 
erzeugt er eine erste (grafisches) Abbildung (Al) der ersten 
Urforrn (Ul) des fraglichen Datums oder der fraglichen Da- 
tei. 

Von der ersten Abbildung (Al) wird in einem weiteren 
Verfahrensschritt ein zugehoriges zweites elektronisches 
Siegel (S2) erzeugt Dieses zweite elektroniscbe Siegel (S2) 
wird in geeigneter Weise mit der ersten Urforrn (Ul) ver- 
bunden, beispielsweise angehangt. Das so gebildete Daten- 
paket wird dann an den gewunschten Empfanger iibermit- 
telt. 

Der Empfanger kann von der bei ihm angekommenen Ur- 
forrn (Ul 1 ) mittels desselben TransformationsprozeB (Tl') 
wieder eine zweite Abbildung (Al^ erzeugen. AnschlieBend 
erzeugt er uber dasselbe Verfahren das zugehorige dritte 
Siegel (S2') neu. 

Wenn die bei ihm angekommene Urforrn (Ul 1 ) idendsch 
ist mit jener ersten Urforrn (Ul), welche versandt werden 
sollte, dann miissen auch die jeweils erzeugten Siegel (SI 
und SI', bzw. S2 und S2') identisch sein. Jede Abweichung 
ware ein Beweis fur eine Abweichung zwischen der zur Ver- 
sendung anstebenden ersten Urforrn (Ul) und der angekom- 
menen Urforrn (U 1'). 

Um die Sicherheit des Verfahrens weiter zu erhohen, kann 
man auch von dem TransformationsprozeB (Tl) ein viertes 
Siegel (S3) erzeugen und mit der ersten Urforrn (Ul) an den 
Empfanger uberrnitteln. 

Es liegt auf der Hand, daB in erfindungsgemaBer Weise 
auch die erste Urforrn (Ul), die zugehorige Siegel (SI, S2 
und/oder S3) getrennt an den Empfanger ubermittelt werden 
konnen. 

Bezugszeichenliste 

Ul erste Urforrn 

U 1 ' ang ekommene Urforrn 

Tl erster TransformationsprozeB 

TV zweiter TransformationsprozeB 

Al erste grafisehe Abbildung 

AV zweite grafisehe Abbildung 

51 erstes elektronisches Siegel 

52 zweites elektronisches Siegel 
S 1 ' drittes elektronisches Siegel 
S2' viertes elektronisches Siegel 

53 funftes elektronisches Siegel 
S3* sechstes elektronisches Siegel 

Patentanspriiche 

1 . Verfahren zur sicheren Ubertragung von Daten oder 
Dateien zwischen Teilnehmern, dadurch gekenn- 
zeichnct, 

daB von der ersten Urforrn (Ul) der Datei oder der Da- 
len durch einen ersten TransformationsprozeB (Tl) 
eine erste grafisehe Abbildung (Al) der ersten Urforrn 
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(Ul) erzeugt wird, 

daB in einem zweiten Schritt von der ersten Abbildung 
(Al) ein zweites elektronisches Siegel (S2) generiert 
wird, 

daB anschlieBend die erste Urform (Ul) der Datei oder 5 
t des Datums und das zweite elektronische Siegel (SI) 
der ersten Abbildung (Al) an einen Empfanger uber- 
mitfelt werden, 

daB in einem weiteren Schritt der Empfanger mit dem- 
selben TransformationsprozeB (TV) eine zweite grafi- 10 
sche Abbildung (Al*) der bei ihm angekommenen Ur- 
form (Ul*) erzeugt, . 

daB in einem weiteren Schritt der Empfanger von der 
von ihm durch den zweiten TransformationsprozeB 
(TO generierten zweiten grafischen Abbildung (AY) 15 
ein viertes elektronisches Siegel (S 2') generiert, 
und daB in einem letzten Schritt das uberrnittelte zweite 
Siegel (S2) und das neu generierte vierte Siegel (S2*) 
miteinander auf Identitat verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 20 
net, 

daB von der ersten Urform (U 1) der Datei oder der Da- 
ten ein erstes elektronisches Siegel (SI) generiert wird, 
daB in einem weiteren Schritt der Empfanger von der 
bei ihm angekommenen Urform (UV) ein drittes elek- 25 
tronisches Siegel (ST) generiert, 
und daB in einem letzten Schritt die ubermittelten er- 
sten und zweiten Siegel (SI und S2) und die neu gene- 
rierten dritten und vierten Siegel (S 1' und S2*) jeweils 
miteinander auf Identitat verglichen werden. 30 

3. Verfahren nach einem oder mehreren der Anspruche 
1 oder 2, dadurch gekennzeichnet, 

daB von dem ersten TransformationsprozeB (Tl) ein 
funftes elektronisches Siegel (S3) generiert wird, wel- . 
ches ebenfalls an den Empfanger ubermittelt wird, 35 
daB in einem weiteren Schritt beim Empfanger von 
dem zweiten TransformationsprozeB (TV) ein sechstes 
elektronisches Siegel (S3 1 ) generiert wird, und 
daB in einem letzten Schritt die ubermittelten ersten, 
zweiten und fiinften Siegel (SI , S2 und S3) und die neu 40 
generierten dritten, vierten und sechsten Siegel (SI', 
S2' und S3') jeweils miteinander auf Identitat vergli- 
chen werden. 

4. Verfahren nach Anspruch 2, dadurch gekennzeich- 
net, 45 
daB bei einem aus mehreren Teilen bestehenden ersten 
TransformationsprozeB (Tl) von zwei oder mehr Tei- 
len dieses ersten Transformationsprozesses (Tl) je- 
weils zugehorige sechste elektronische Siegel (S4) ge- 
neriert werden, 50 
daB in einem weiteren Schritt beim Empfanger von 
dem zweiten TransformationsprozeB (Tl 1 ) von diesem 
zwei oder mehrere Teile jeweils weitere zugehorige 
elektronische Siegel (S4*) generiert werden, und 

daB in einem letzten Schritt die ubermittelten ersten, 55 
zweiten und fiinften Siegel (SI, S2 und S4) und die neu 
generierten dritten, vierten und sechsten Siegel (ST, 
S2* und S4') miteinander auf Identitat verglichen wer- 
den. 

5. Verfahren nach einem oder mehreren der Anspruche 60 
1 bis 4, dadurch gekennzeichnet, daB ein Siegel von ge- 
eigneten Komponenten der Systemumgebung generiert 
werden und daB in einem letzten Schritt die ubermittel- 
ten Siegel und die neu generierten Siegel miteinander 
auf Identitat verglichen werden. 65 

6. Verfahren nach einem oder mehreren der Anspruche 
1 bis 5, dadurch gekennzeichnet, daB die Siegel ge- 
trcnnt von der ersten Urform (Ul ) und/oder der ersten 
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grafischen Abbildung (Al) an den Empfanger ubermit- 
telt werden. 
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